MSB ökar IT-investeringarna

“Särskilt svår att möta är den statsfinansierade verksamheten på nätet”, säger MSB:s IT-chef Mats Persson.

2018-03-06

Säkerhet högt på agendan för MSB

På MSB, Myndigheten för samhällsskydd och beredskap, är cybersäkerhet A och O.
– Säkerhet är integrerat i allt vi gör, säger Mats Persson, IT-chef på MSB.

IT- och informationssäkerhet ingår i nästan alla MSB:s processer, från utveckling till förvaltning av system och även aktiviteter som inte involverar IT. Myndigheten gör till exempel informationsklassning, riskanalyser, konsekvensanalyser och uppföljningar av resultat.

Eftersom säkerhet finns med överallt går det enligt Mats Persson inte att säga hur stor del av IT-budgeten som berör området. Däremot att det ökar.

– Under mina två år här har säkerhetsinsatserna ökat med tio procent per år, säger Mats Persson.

– En stor utmaning är hur vi ska kunna tillhandahålla verktyg och tillgång till information för våra medarbetare så att de kan arbeta effektivt samtidigt som vi bibehåller rätt nivå på informationssäkerheten.

Utdrag ur IT-Radar

Den här artikeln är ett utdrag ur rapporten IT-Radar 2018. Det är årets utgåva av Radars årligen återkommande rapport om den svenska IT-marknaden, den största undersökningen i Norden på området. Här framgår hur stor marknaden är, vilka prioriteringar svenska verksamheter gör på IT-området och vilka som är de största trenderna just nu.

Ladda ned rapporten här, om du är kund. Kontakta oss annars för att köpa en kopia.

På förmiddagen kanske en medarbetare arbetar med hemlig information, som totalförsvarsplanering. Det kan handla om olika former av fientliga hot mot Sverige. På eftermiddagen arbetar hen med risker inom nästan samma område. Men nu är informationen publik. Utmaningen är dels att få personen att själv se olikheterna och dels att se till att verktygen klarar av att hantera dem.

– Andra problem är nya typer av hotbilder. Särskilt svår att möta är den statsfinansierade verksamheten på nätet. När stater organiserar fientliga aktiviteter blir det på en annan nivå, säger Mats Persson.

Extra viktig för MSB är kontinuitetsplaneringen och att säkerställa robustheten i systemen. Ett exempel är varningssystemet Hesa Fredrik. I somras gick larmet av misstag i Stockholmsregionen vilket gjorde att ovanligt många gick in på MSB:s webbplatser.

– Vissa fick väldigt hög last, i vissa fall var svarstiden 30 minuter. Det är inte acceptabelt. Hade det varit en riktad attack hade det kunnat få väldigt allvarliga följder, säger Mats Persson.

–  När samhället i övrigt darrar ska de tjänster som vi tillhandahåller fungera. Exempelvis får krisinformation.se absolut inte gå ned.

En annan incident i närtid är när DNS-leverantören Dyn drabbades av en massiv DDOS-attack, vilket slog över hela världen.

Vilka rekommendationer kan du ge på säkerhetsområdet?

– Det handlar mycket om noggrannhet och ödmjukhet. Man är aldrig 100 procent säker, säger Mats Persson.

MSB har inte några mätbara mål inom cybersäkerhet. När det gäller digitalisering finns en plan, å andra sidan har man inte kommit så långt på området.

– Vi har en lång väg att gå. Men det är också något som vi har identifierat och vi har precis arbetat fram en digital strategi för myndigheten. Vi kommer att jobba mer systematiskt med digitalisering framöver och vi har pekat ut ett antal områden som vi ska jobba med, säger Mats Persson.

En av många svårigheter är att mognadsgraden och förutsättningarna skiljer sig mycket åt inom myndigheten. MSB försökte till exempel se över digitaliseringen av hela personalhanteringsprocessen, från rekrytering till dess att medarbetaren är avvecklad.

– Vi har fått krympa scoopet. Vi orkade inte med det. Det var så oerhört mycket att göra bara i den första biten – från rekrytering till anställning – så vi fick stanna där, säger Mats Persson.

Generellt tenderar innovationsprojekten att bli för stora.

– Om vi går i land har det hållit på så länge vi ändå missar det vi har tänkt oss. Ett projekt kan ofta vara i 1,5 år och under tiden har världen förändrats så mycket att projektet inte fick det värde vi hade tänkt, säger Mats Persson.

1 000 krishanterare

MSB är en statlig myndighet som arbetar med kriser, katastrofer och andra oväntade händelser. Både för att undvika att dessa ska inträffa och för att minimera effekterna när de väl sker. Uppgiften är också att lära sig om den typen av händelser och återkoppla till samhället. Det kan handla om allt från explosiva varor till översvämningar och cyberattacker.

  • ungefär 1 000 medarbetare
  • total budget på 1,2 miljarder kronor 2018
  • 50 miljoner kronor i IT-budget
  • ytterligare cirka 50 miljoner kronor berör IT men ligger utanför IT-funktionen

Lösningen som han ser det nu är att börja med agila metoder och att dela upp projekten i väsentligt kortare cykler. För att få fart på den digitala innovationen ser Mats Persson framför sig att en särskild grupp driver frågan.

När det gäller molntjänster och outsourcing har det hittills stupat på regelverk och de hårda kraven på informationssäkerhet. Det finns också historiska skäl som hållit emot. Särskilt viktigt är att leverantören ska kunna garantera var data lagras – vilket ska vara i Sverige eller inom EU.

– Det är ett känsligt område, även innan Transportstyrelsenskandalen i somras. Men den påverkade oss definitivt, säger Mats Persson.

En av få saker som är utlagda är personalsystemen, som ligger på Statens servicecenter.

Hur ser du då på den stora övergripande trend som Radar kallar ”industrialiseringen av IT”?

– Vi som statlig myndighet kan inte bedriva villkoren för hur aktörer på marknaden utvecklas. När de levererar den typ av funktion som vi efterfrågar kommer vi inte göra det ”on prem” (egen installation) längre utan i en hårt industrialiserad molntjänst. Hur gärna vi än skulle vilja kan vi inte gå en egen väg. Det skulle i längden troligen bli sämre och mycket dyrare, säger Mats Persson.

Här finns en motsättning mellan å ena sidan informationssäkerhet och regelverk och å andra sidan kraven på innovation och kostnadspress.

– Men jag tror att lokala och globala aktörer kommer att se att budgeten för myndigheter i Sverige är tillräckligt stor för att det ska vara intressant att anpassa sig. Det är inga unika krav vi har, motsvande finns i andra delar av Europa.

Ett typexempel är enligt Mats Persson Microsoft, som redan garanterar att information lagras inom EU, som säger att de arbetar med de aktuella ISO-standarder som rör informationssäkerhet och som ger full insyn i hur det går till.

– Jag tror att det bara är en tidsfråga innan leverantörerna har molnlösningar som passar statliga myndigheter. Sedan har vi Statens servicecenter där det finns initiativ till hur staten självt ska kunna lösa det här, utan privata bolag.

MSB ökar IT-budgeten i år med hela tio procent. Bakgrunden är att IT-mognaden som nämnts är väldigt ojämn. Tidigare har de olika enheterna själva fått bestämma hur mycket de ska investera i arbetsplatsutrustning. Konsekvensen är att de som har fått lite medel tilldelade totalt sett kör med gammalt skrot. Andra delar, som cybersäkerhetsenheten, får mycket pengar och har det allra senaste.

– Det är en mardröm att underhålla när det är så mycket olika prylar. Därför har vi gjort en ordentlig förändring, säger Mats Persson.

2018 tar därför IT-enheten över ansvaret för hela den digitala arbetsplatsen – desktop, telefoner och så vidare. IT-budgeten totalt ligger på 50 miljoner kronor. Nästan lika mycket berör IT på annat håll.

– Det handlar både om skugg-IT och saker som vi historiskt inte har valt att definiera som IT. Om vi till exempel sätter upp ett system för räddningstjänsten för att identifiera risker för översvämning tolkas det för närvarande inte som IT inom vår verksamhet.

Mats R. Persson, MSB

Lång vända i konsultsvängen

Mats Persson har arbetat i två år som IT-chef på MSB.

Innan dess har han arbetat många år i konsultvärlden i olika roller, som delivery manager och konsultchef. Som konsult hade han kunder inom branscher som telekom, IT och bank.

Tidigare arbetsgivare har bland annat varit Tieto, HP, Ericsson och Karlstads Elnät.

Artikelförfattare
Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47

Radar är Nordens ledande leverantör av lokal faktabaserad insikt för alla aktörer i IT-branschens ekosystem. Radars insikt byggs upp genom tusentals strategi-, prioriterings- och nyckeltalsjämförelser som såväl IT-beslutfattare som leverantörer låter Radar genomföra och analysera varje år.